Immaginate un mondo dove la vostra auto, gioiello di tecnologia e comfort, può essere sbloccata o persino localizzata da un malintenzionato, semplicemente sfruttando una debolezza nel sistema informatico di una concessionaria. Sembra la trama di un film, ma è quanto accaduto, o meglio, quanto avrebbe potuto accadere, a migliaia di automobilisti. Un ricercatore di sicurezza ha infatti scoperto gravi vulnerabilità in un portale web di un noto costruttore automobilistico. Questo episodio ci ricorda quanto sia critica la sicurezza nel crescente universo delle auto connesse.Eaton Zveare, un esperto di sicurezza presso Harness, ha rivelato a TechCrunch le falle che gli hanno permesso di creare un account amministrativo con “accesso illimitato” al portale centralizzato del costruttore. Se sfruttate, queste vulnerabilità avrebbero potuto esporre dati personali e finanziari dei clienti, tracciare veicoli e persino consentire il controllo remoto di alcune funzioni dell'auto, come lo sblocco delle portiere. Zveare ha preferito non rivelare il nome del costruttore, ma ha specificato che si tratta di un'azienda molto conosciuta con diversi marchi secondari popolari.Quando la Sicurezza È Solo una PromessaIl cuore del problema risiedeva in un bug nel codice caricato nel browser dell'utente, che permetteva di bypassare i meccanismi di login. Una volta dentro, Zveare ha avuto accesso a più di mille concessionarie del costruttore negli Stati Uniti. “Nessuno si sarebbe accorto che stavi silenziosamente consultando tutti i dati dei concessionari, le loro finanze, le loro informazioni private, i loro contatti”, ha spiegato Zveare, descrivendo l'ampiezza dell'accesso. Tra le funzionalità più preoccupanti, un tool di ricerca nazionale che permetteva di identificare i proprietari dei veicoli usando solo il numero di identificazione del veicolo (VIN) o il nome e cognome del cliente. Una vera miniera d'oro per chiunque avesse avuto intenzioni malevole.Ma non è finita qui. Zveare ha dimostrato come fosse possibile abbinare qualsiasi veicolo a un account mobile, permettendo il controllo remoto di alcune funzioni dell'auto, come lo sblocco. In un test, con il consenso di un amico, ha trasferito la proprietà di un'auto al suo account. Il sistema richiedeva solo un'attestazione, una sorta di 'promessa con il mignolo', che l'utente che effettuava il trasferimento fosse legittimo. Un meccanismo di sicurezza incredibilmente debole, che avrebbe potuto essere sfruttato da chiunque conoscesse il nome del proprietario o avesse accesso al VIN di un'auto parcheggiata.Le Interconnessioni Pericolose dei SistemiUn altro aspetto critico emerso dalla ricerca di Zveare è l'interconnessione dei sistemi dei concessionari. Attraverso il Single Sign-On (SSO), ossia l'accesso a più sistemi con un'unica credenziale, era facile passare da un sistema all'altro. Il portale permetteva inoltre agli amministratori di “impersonare” altri utenti, accedendo ai loro sistemi senza bisogno delle credenziali. Zveare ha paragonato questa funzionalità a quella scoperta in un portale Toyota nel 2023, definendoli “incubi di sicurezza in attesa di accadere”. Queste interconnessioni, pensate per semplificare la vita, se non protette adeguatamente, diventano varchi spalancati per i cybercriminali.All'interno del portale, Zveare ha trovato dati personali identificabili dei clienti, informazioni finanziarie e sistemi telematici che consentivano il tracciamento in tempo reale di auto a noleggio, auto di cortesia o veicoli in spedizione. Sebbene Zveare non abbia tentato di sfruttare tutte le vulnerabilità, il potenziale di abuso era enorme, dal furto di dati al controllo di veicoli. Fortunatamente, i bug sono stati corretti in circa una settimana a febbraio 2025, poco dopo la segnalazione al costruttore.Lezioni Apprese e il Futuro della Sicurezza AILa vicenda solleva interrogativi importanti sulla sicurezza delle infrastrutture digitali che supportano le nostre auto connesse. Come ha sottolineato Zveare, “il punto è che solo due semplici vulnerabilità API hanno spalancato le porte, ed è sempre legato all'autenticazione. Se sbagli quelle, tutto crolla”. Questo episodio serve da monito: mentre le auto diventano sempre più 'smart' e connesse, la sicurezza informatica deve essere al centro della progettazione, non un'aggiunta successiva.Nel contesto delle guide pratiche sull'AI, questa notizia evidenzia un aspetto cruciale: l'intelligenza artificiale, pur offrendo soluzioni innovative, espone anche nuovi punti deboli. I sistemi che gestiscono i dati delle auto, le loro funzionalità remote e l'interconnessione con le concessionarie, spesso si avvalgono di AI per l'analisi dei dati e l'automazione. È fondamentale che lo sviluppo di queste tecnologie sia accompagnato da robusti protocolli di sicurezza e da test approfonditi, come quelli condotti da ricercatori etici come Zveare. L'AI può essere un formidabile alleato per la sicurezza, ma solo se usata con consapevolezza e responsabilità, evitando che le sue stesse logiche complesse diventino il tallone d'Achille dei sistemi che dovrebbe proteggere. La trasparenza e la tempestività nella risoluzione delle vulnerabilità sono passi essenziali per costruire un futuro digitale più sicuro.